Let’s Encrypt 通配符使用教程
看到新闻,自2018年3月14日起,Let’s Encrypt开放了通配符域名的ssl证书申请。我找到了教程尝试了一下,感觉很无奈,所谓的通配符域名只是针对二级域名,并不能针对主域名,如*.www.5288z.com和www.5288z.com是两个域名,在处理的时候不得不都加进去,否则只使用 *.www.5288z.com证书当使用www.5288z.com访问的时候就会被浏览器拦截,这里也算是个大坑了吧。
好了,废话不对吹了,下面看是使用方法。
用户在申请 Let’s Encrypt 证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:
- dns-01:给域名添加一个 DNS TXT 记录。
- http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
- tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。
通配符域名目前只能使用dns-01的方式。
# 下载 Certbot 客户端
wget https://dl.eff.org/certbot-auto
# 设为可执行权限
chmod a+x certbot-auto
sudo certbot-auto certonly -d "*.www.5288z.com" -d "www.5288z.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
一步一步按照提示申请即可,这里需要配置N多个Txt解析,麻烦。。。。
certonly 表示插件,Certbot 有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。 -d 为哪些主机申请证书。如果是通配符,输入 *.xxx.com (根据实际情况替换为你自己的域名)。 –preferred-challenges dns-01,使用 DNS 方式校验域名所有权。 –server,Let’s Encrypt ACME v2 版本使用的服务器不同于 v1 版本,需要显示指定。
更详细的安装可参考官方文档:https://certbot.eff.org/
下面是本博客申请的SSL证书展示: